Non bastassero i problemi causati dalla gestione incorretta del carattere null in AMSI , una nuova vulnerabilità individuata da ricercatori italiani mette a rischio i PC basati sulle versioni più recenti di Windows. Microsoft dice di essere al lavoro per risolvere, mentre sottolinea le capacità difensive dell’estensione cloud di Defender.
Scoperta dai ricercatori dell’Università di Padova, la nuova falla di sicurezza riguarda una funzionalità nota come Control Flow Guard (CFG) e introdotta per la prima volta con Windows 8.1 Update 3: CFG è un meccanismo pensato per contrastare le vulnerabilità derivanti dalla corruzione della memoria, e può essere abilitata su IDE Visual Studio 2015 senza alcuna modifica al codice.
Passando dalle promesse di Microsoft alla realtà, i ricercatori hanno trovato il modo di bypassare CFG e di sfruttare il loro codice proof-of-concept (POC) usando il browser Edge su sistema Windows 10 (64-bit). La falla mette a rischio 500 milioni di computer, dicono i ricercatori, mentre Microsoft si limita a consigliare l’uso del suo ultimo OS in attesa di una patch correttiva.
D’altronde la sicurezza di Redmond non è tutta un colabrodo, visto che è la stessa corporation a comunicare di essere riuscita a bloccare sul nascere un’infezione potenzialmente molto pericolosa. Nei giorni scorsi Windows Defender ha scoperto l’esistenza di decine di migliaia di trojan tecnicamente sofisticati, prendendo nota dei meccanismi pericolosi e avvertendo l’infrastruttura cloud di Microsoft.
Nel giro di “pochi millisecondi”, sostiene Redmond , la piattaforma cloud di Defender ha cominciato a bloccare in maniera proattiva la minaccia fino all’analisi che ha svelato la vera natura della minaccia: Dofoil è una famiglia di malware con miner di criptomoneta incorporato, una minaccia progettata per guadagnare dal mining di Electroneum che ha preso di mira quasi esclusivamente i paesi dell’est – Russia in primis. E che non ha potuto agire indisturbata grazie alla solerzia delle difese cloud di Defender, suggerisce Microsoft.